Браузер Tor исправляет ошибку, которая позволяет запускать JavaScript при отключении.

Браузер Tor исправил ошибку, из-за которой JavaScript мог выполняться на веб-сайтах, даже если пользователи считают, что отключили его для максимальной анонимности.

Проект Tor обнаружил проблему в примечаниях к выпуску для версии 9.0.6, первоначально предлагая пользователям на время отключить JavaScript вручную, если проблема беспокоит их. Впоследствии это было пересмотрено после того, как расширение NoScript - используемое Tor для управления выполнением JavaScript, Java, Flash и других плагинов - было обновлено до версии 11.0.17.

Важность вопроса зависит от того, как пользователи настроили Tor для обработки JavaScript.

Стандартная настройка Tor включает JavaScript по умолчанию, какие пользователи могут перейти на «безопасный», который отключает JavaScript на сайтах, отличных от HTTPS, или «безопасный», который полностью отключает JavaScript.

У каждого параметра есть свои плюсы и минусы. Оставив включенным JavaScript, вы открываете пользователям гипотетический риск того, что их анонимность может быть скомпрометирована, например, используя уязвимость в базовом браузере Firefox.

    Было небольшое количество сообщений об этом, например, в 2013 году, и снова в 2016 году, когда Mozilla выпустила патч для исправления реальной атаки JavaScript, направленной на Tor правительством. С другой стороны, многие веб-сайты используют JavaScript, и его отключение может привести к их поломке или, по крайней мере, к снижению производительности. Новое оповещение об обновлении является срочным для всех, кто использует Tor в «безопасных» настройках. Короче говоря, ошибка может в некоторых случаях позволить JavaScript продолжать работать, даже если этот параметр запрещает это. Примечания к выпуску Tor сообщают, что расширение обычно обновляется автоматически:

Noscript 11.0.17 должен решить эту проблему. Автоматическое обновление Noscript включено по умолчанию, поэтому вы должны получить это исправление автоматически.

Почему бы просто не использовать NoScript для внесения в белый список JavaScript на доверенных сайтах, как в случае с браузерами, не поддерживающими Tor? Пользователи не могут сделать это в Tor, потому что это может сделать вещи еще менее безопасными - сам факт включения JavaScript только на некоторых веб-сайтах сам по себе может стать непреднамеренным файлом cookie, который используется для идентификации пользователей, когда они появляются в Интернете.

Это означает, что для всех, кто использует Tor, JavaScript либо включен, либо выключен, без двусмысленного «иногда» на полпути.

Все могло быть хуже. В прошлом году из-за проблем с цифровыми подписями Firefox и Tor временно перестали доверять множеству надстроек, включая NoScript. Не уверен, что происходит, осторожные пользователи, которые понимали важность NoScript, прекратили использовать Tor, пока проблема не была устранена